AAA 명령 권한 부여를 사용하는 WAAS Express/APPNAV XE
목차
소개
이 문서에서는 TACACS(Terminal Access Controller Access Control System) 및 AAA(Authentication, Authorization and Accounting) 명령 권한 부여를 사용하여 WAAS(Wide Area Application) Express/APPNAV-XE를 구성하는 방법에 대한 세부 정보를 제공합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Cisco WAAS
- AAA 권한 부여
- TACACS
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- WAAS 6.1.1x
- 2900 라우터
- IOS 버전 15.2(4)M3
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
WAAS Central Manager에는 WAAS Express 및 APPNAV - XE 라우터에 액세스하려면 SSH(Secure Shell) 및 Secure HTTPS가 필요합니다.
SSH(Secure Shell)는 초기 컨피그레이션/등록에 사용됩니다.
HTTPS는 지속적인 구성 및 모니터링에 사용됩니다.
일반적으로 디바이스에서 HTTPS 및 AAA 컨피그레이션을 조합하면 중앙 관리자가 이러한 디바이스와 올바르게 통신할 수 없습니다.
TACAC 설정 예
aaa new-model ! ! aa group server tacacs+ tacacsgroup server name server1 server name server2 aaa authentication login AUTH group AAA-Servers aaa authorization commands 1 PRIV1 group AAA-Servers aaa authorization commands 15 PRIV15 group AAA-Servers aaa authorization exec AUTHLIST group AAA-Servers
HTTPS 컨피그레이션 예
ip http server
ip http authentication aaa exec-authorization AUTHLIST
ip http authentication aaa command-authorization 1 PRIV1 ip http authentication aaa command-authorization 15 PRIV15 ip http authentication aaa login-authentication AUTH ip http secure-server
ip http secure-trustpoint TP-self-signed-2945720990
ip http client source-interface GigabitEthernet0/0
ip http client secure-trustpoint TP-self-signed-2945720990
HTTP를 통해 WAAS Express/APPNAV-XE에서 CM이 실행하는 명령
원격 디바이스에서 실행할 수 있도록 중앙 관리자가 필요한 명령 목록입니다.
구성 모드 CLI
do show running-config | section crypto pki trustpoint
crypto pki export
EXEC 모드 CLI
WAASX - 상태
show waas token | format show waas status | format show waas alarms | format show running-config | section hostname show ip interface brief | format show interfaces | include line protocol | Internet address | address is | *uplex show running-config brief | include clock timezone show clock show crypto pki trustpoints | include Trustpoint show inventory
WAASX - 구성
show parameter-map type waas waas_global | format show class-map type waas | format show policy-map type waas | format write memory
WAASX - 통계
show waas statistics peer | format show waas statistics application | format show waas connection brief show waas statistics accelerator http-express | format show waas statistics accelerator http-express https | format show waas statistics accelerator ssl-express | format show waas statistics class | format show waas statistics accelerator cifs-express detail | format
등록
registration show waas status extended | format
AppNav-XE
show service-insertion token | format show service-insertion status | format show class-map type appnav | format show ip int br | format show service-insertion service-context | format show service-insertion service-node-group | format show service-insertion statistics service-node-group | format show policy-map type appnav | format show policy-map target service-context | format show service-insertion config service-context | format show service-insertion config service-node-group | format show service-insertion config appnav-controller-group | format show service-insertion alarms | format show ip access-list show vrf show running-config | section interface show running-config | include service-insertion swap src-ip
문제 해결
엔드 디바이스에서 잘못된 AAA 또는 HTTP 컨피그레이션으로 인해 등록 및 상태 업데이트 실패가 발생할 수 있습니다.
WAAS Central Manager CLI에서
CM CLI에서 원격 디바이스로 ssh를 수행할 수 있는지 확인합니다.
#ssh <device-name>
cms debug on CM을 활성화하고 등록 중 cms log 및 waasx-audit.log 파일을 검토하여 컨피그레이션 및 통계 수집을 푸시합니다.
# debug cms waasx-regis # debug cms router-config # debug cms stats (config)# logging disk priority 7
# cd errorlog
# type-tail cms.log follow # type-tail waasx-audit.log follow
CM이 WAAS-Express 또는 AppNav-XE에 명령을 푸시하지 못한 경우 로그 항목의 예.
05/27/2016 00:14:03.760 [I] cdm(RtrSync-40) Configuration commands failed on the device CeConfig_2875943/USNY25W39-R02. Not Taking backup of complete device configuration.
05/27/2016 00:14:03.774 [W] cdm(RtrSync-64) 700001 Failed configuration commands are ...
05/27/2016 00:14:03.774 [W] cdm(RtrSync-64) 700001
class-map type appnav match-any HTTPS
CLI:class-map type appnav match-any HTTPS
Status:8
Output:Command authorization failed.
브라우저에서 HTTPS 액세스 테스트
HTTP 인터페이스에 로그인할 수 있습니다.
https://<IP_ADDRESS>/level/15/exec/-/
그런 다음 섹션에 명령을 
입력합니다.
작업 show inventory 명령의 예
show Inventory 명령의 실패 예
WAAS Express 라우터에서 디버그
#debug aaa 권한 부여
명령이 실행되었습니다.
Jul 5 07:09:19.161: AAA/AUTHOR/TAC+: (2935402750): user=waasx
Jul 5 07:09:19.161: AAA/AUTHOR/TAC+: (2935402750): send AV service=shell
Jul 5 07:09:19.161: AAA/AUTHOR/TAC+: (2935402750): send AV cmd=show
Jul 5 07:09:19.161: AAA/AUTHOR/TAC+: (2935402750): send AV cmd-arg=vrf
Jul 5 07:09:19.161: AAA/AUTHOR/TAC+: (2935402750): send AV cmd-arg=
Jul 5 07:09:19.365: AAA/AUTHOR (2935402750): Post authorization status = PASS_ADD
권한 부여 실패
Jul 5 07:08:32.485: AAA/AUTHOR/TAC+: (819547031): user=waasx
Jul 5 07:08:32.485: AAA/AUTHOR/TAC+: (819547031): send AV service=shell
Jul 5 07:08:32.485: AAA/AUTHOR/TAC+: (819547031): send AV cmd=show
Jul 5 07:08:32.485: AAA/AUTHOR/TAC+: (819547031): send AV cmd-arg=inventory
Jul 5 07:08:32.485: AAA/AUTHOR/TAC+: (819547031): send AV cmd-arg=
Jul 5 07:08:32.685: AAA/AUTHOR (819547031): Post authorization status = FAIL
피드백